APT(高度持続的脅威)グループ「UNC1151」は、別名「Ghostwriter」としても広く追跡されており、サイバースパイ活動を大幅に拡大させています。
国家が支援するこの脅威アクターは、従来OnetやWirtualna Polska、Interiaなどポーランドの地域メールプロバイダーを主な標的としてきましたが、攻撃対象を急激に転換しました。
2026年3月以降、同グループはGmailユーザーを狙った極めて集中的なフィッシングキャンペーンを展開しています。
CERT Polskaが公表した最新の脅威インテリジェンスによると、この攻撃的な新キャンペーンは最新のセキュリティ対策を積極的に回避しながら、パスワードと二要素認証(2FA)の認証情報の両方を窃取しています。
Ghostwriterは、この地域で活動する最も活発な脅威グループの一つであり続けています。
攻撃者はアカウントを侵害すると、今後の標的にするための連絡先リスト、機密文書、リンクされたソーシャルメディアアカウントへのアクセス情報など、価値あるデータを組織的に収集します。
その標的範囲は非常に広範で、政界・公的生活に携わる人物、著名な官僚、セキュリティ研究者、ジャーナリスト、行政機関の職員などが主な被害者となっています。
さらに攻撃者は、こうした著名人の家族や人脈をも標的にしています。
場合によっては、脅威アクターがメールアドレスを推測する手法を用いることもあり、同名または類似した名前を持つ無関係の人物の受信箱にフィッシングメールが届くケースも生じています。
UNC1151グループは、Gmailの公式管理者通知を完全に模倣した偽メールを送りつけることで、攻撃の連鎖を開始します。
これらのメールは緊急性と恐怖心を巧みに利用しており、不審なアクティビティの検出、不正ログイン試行、利用規約違反などを主張する内容になっています。
攻撃者は受信者に対し、無視すればアカウントが永久削除または停止されると脅し、直ちにアカウントを確認するよう迫ります。
フィッシングメールの配信には、「[email protected]」や「[email protected]」など、公式に見せかけた新規作成のGmailアカウントが主に使用されています。
また、正規の侵害済みメールアカウントを乗っ取り、送信者の表示名を変更してスパムフィルターをかいくぐる手口も確認されています。
件名には「Critical alert(重大なアラート)」「New device login detected(新しいデバイスからのログインを検出)」「Security alert(セキュリティアラート)」といった警戒を促す文言が頻繁に使用されます。また注目すべき点として、攻撃者は被害者を直接宛先に記載せずに効率よくメールを配信するため、ブラインドカーボンコピー(BCC)機能を多用していることも確認されています。
CERTの調査によると、同グループは検出を逃れるためにインフラを急速に切り替えています。過去数カ月間、フィッシング活動は専用の悪意あるドメインと正規ホスティングサービスの悪用を組み合わせた手法に大きく依存しています。
.icu、.digital、.topなどのトップレベルドメイン(TLD)でドメインを頻繁に登録するほか、カスタムウェブサイトをホスティングできるプラットフォームも積極的に悪用しており、特にNetlifyのサブドメイン(*.netlify.app)が好んで利用されています。
さらに活動を隠蔽するため、Ghostwriterのアクターは主にポーランドの組織が運営する侵害済みの正規ウェブサイト上に、偽のログインパネルを設置する手口も使用しています。
サイトに潜む脆弱性を突いてフィッシングページを密かに埋め込み、メインサイトに変更を加えないため、サイト所有者に侵入が一切気づかれないまま攻撃が継続されます。
翻訳元: https://cyberpress.org/ghostwriter-hackers-target-gmail/
